“Los hackeos en Colombia no van a parar y hay que prepararse para lo peor”
Pilar Sáenz, directora del laboratorio de seguridad digital y privacidad de la fundación Karisma, explica que es necesario evitar a toda costa que las bases de datos con información sensible de salud y de justicia se vendan en el mercado negro
La física colombiana Pilar Sáenz (Bogotá, 50 años), experta en ciberseguridad y derechos digitales, hace un balance de la gravedad del hackeo que la semana pasada afectó los sistemas de más de 20 entidades del gobierno nacional. “Los hackeos en Colombia no van a parar y hay que prepararse para lo peor”, dice en entrevista con EL PAÍS. Sáenz es la coordinadora del laboratorio de seguridad digital y privacidad de la ...
La física colombiana Pilar Sáenz (Bogotá, 50 años), experta en ciberseguridad y derechos digitales, hace un balance de la gravedad del hackeo que la semana pasada afectó los sistemas de más de 20 entidades del gobierno nacional. “Los hackeos en Colombia no van a parar y hay que prepararse para lo peor”, dice en entrevista con EL PAÍS. Sáenz es la coordinadora del laboratorio de seguridad digital y privacidad de la Fundación Karisma, una organización de la sociedad civil que busca la promoción de los derechos humanos en el mundo digital. Desde hace más de una década, Sáenz estudia las consecuencias sociales de los ciberataques. “Lo peor que puede pasar es que después del hackeo haya venta de información sensible de las entidades al mercado negro. Por ejemplo, que las bases de datos críticos y sensibles de la salud de los pacientes queden en manos de criminales”.
Pregunta. ¿Cuál es a su juicio la gravedad del hackeo que sufrieron la semana pasada más de 20 instituciones públicas de Colombia?
Respuesta. El balance es muy complejo. Todavía no se han podido recuperar los sistemas que fueron atacados y, sobre todo, no se sabe con certeza cuál es la magnitud. Hay una falta de información preocupante por parte de la empresa IFX Networks. No sabemos con precisión cuál fue su alcance ni cuánto tiempo estimado se puedan demorar en resolverlo. Sin esa información es difícil que las instituciones afectadas implementen medidas para resolver los problemas. Creo que con un ataque tan fuerte como el que sufrieron, va a ser muy difícil que recuperen su operación en un tiempo corto.
P. ¿Cómo ve la situación de ciberseguridad en Colombia?, ¿estamos preparados para prevenir otro ataque similar?
R. Hay que partir de la certeza de que nunca habrá seguridad digital al 100%. Todos los sistemas son susceptibles a fallos. La pregunta, entonces, no es si los sistemas van a fallar, sino cuándo van a fallar. Todas las instituciones deberían estar preparadas para un ataque de ransomware, porque van a seguir ocurriendo. Los sistemas son vulnerables, las personas cometen errores. El riesgo más grande de ciberataque en este momento es el ransomware. Hace menos de un año hubo un ataque a la Fiscalía y otro a las fuerzas militares, y seguirán.
P. ¿Qué es y cómo funciona el ransonware?
R. Esa expresión viene de la palabra ransom, que en inglés significa rescate (en el sentido del dinero que se paga por una extorsión) y hace referencia a secuestro de datos. Lo que hacen los atacantes es encontrar una forma de meterse al sistema de la entidad. Una vez adentro, mapean toda la información y se expanden por el sistema. Cuando están seguros de que tienen el control, cifran los datos con una contraseña, de forma que sean inaccesibles para las personas de la institución. Al final, ponen un aviso pidiendo dinero a cambio de devolver la información.
P. ¿Cómo se debe responder a eso?
R. Ante un ataque de este tipo, lo normal es desconectar la máquina de internet, intentar acceder a los datos, restablecer el backup de la información y revisar que no haya más vulnerabilidades. El problema se hace más grave cuando no hay backup. En ese caso toca restablecer el sistema desde cero con información de distintas partes o pagar el rescate. Eso, sin embargo, es negociar con criminales.
P. ¿Es ilegal?
R. Que yo sepa no es ilegal tranzar con criminales, pero no es ético. En los estados financieros de una institución, un pago de este tipo se vería muy mal.
P. ¿Es común que los gobiernos o las entidades hagan esos pagos?
R. No se sabe, muchos de estos ataques no salen a la luz pública. Pero si los criminales lo siguen haciendo es porque la gente a veces paga para rescatar su información. Sin embargo, creo que las instituciones están aprendiendo a tener mejores sistemas de recuperación y cada vez le ponen más cuidado a los temas de seguridad digital. Es un cambio de mentalidad lento y todavía hace falta mucha conciencia, no solo en Colombia sino en todo el mundo.
P. ¿En qué falló el Estado colombiano en el hackeo de IFX Newtorks? ¿Qué parte de la responsabilidad le corresponde?
R. Eso depende de los detalles del contrato que cada entidad tenga con IFX, que no conozco. En cualquier caso, el país no puede estar sin la rama judicial y sin sistema de salud, por poner solo dos ejemplos. El Estado es responsable de tener un plan de contingencia para garantizar los servicios y responder si algo sale mal durante el tiempo en que no están activos. El Estado tiene que garantizar los derechos de los ciudadanos. No puedes frenar el derecho a la salud o a la justicia porque una plataforma está inactiva. Las personas deberían poder pedir sus medicamentos y ser atendidos con normalidad. Para eso sirven los planes de contingencia, que cada entidad debería tener.
P. En este caso no parece que hayan funcionado porque muchos sistemas siguen caídos...
R. La ciudadanía no sabe con certeza cuáles sistemas están caídos y cuáles no. Por ejemplo, la Superintendencia de Industria y Comercio solo tenía contratado con IFX su infraestructura ya lograron solucionar, pero las bases de datos de la rama judicial y del sistema de salud parecen estar más comprometidas. Los planes de contingencia no se ven. Además, hay una tarea previa que está pendiente desde hace años, que consiste en identificar y establecer cuáles son las infraestructuras críticas de Colombia que deben protegerse a toda costa. El Conpes de seguridad digital de 2020, que es el vigente, lo establece. Sin embargo, no se ha firmado el decreto.
P. ¿Cuáles son a su juicio esas infraestructuras críticas?
R. En términos generales, la infraestructura crítica se suele entender como aquella sin la cual no puede funcionar un país. Incluye transporte, energía, servicios básicos como la salud o la educación, la seguridad nacional y las telecomunicaciones. Es necesario el decreto que las formalice.
P. En la discusión del Plan Nacional de Desarrollo se cayó la propuesta de crear una agencia de seguridad digital, ¿piensa que es necesaria?
R. Nosotros, desde Karisma, siempre dijimos que era una buena idea. Necesita una mejor discusión, pero se requiere. Son urgentes instituciones que tengan la capacidad de responder ante este tipo de ciberataques. Hubo mucha desinformación en el Congreso y por eso se cayó la iniciativa. La agencia de seguridad digital nada tiene que ver con la de inteligencia, que además ya existe. Creo que se perdió la oportunidad de crear una institución muy necesaria. Esperamos que pronto se pueda llegar a un acuerdo concreto que le sirva al país.
P. ¿Qué otra cosa se necesita para fortalecer la seguridad digital de Colombia y prevenir ataques como estos?
R. Esos ciberataques no van a parar. Hay que tomar conciencia del tema. No van a dejar de suceder y, por lo tanto, hay que estar preparado para lo peor.
P. ¿Qué es lo peor?
R. El peor escenario es que pase lo que ya pasó y que, además, haya venta de información de las entidades al mercado negro. Por ejemplo, que las bases de datos críticos y sensibles de la salud de los pacientes queden en manos de criminales. Aún se pueden imaginar consecuencias más complejas, por ejemplo, que la información de procesos penales de un individuo se le venda a una red de delincuentes.
Suscríbase aquí a la newsletter de EL PAÍS sobre Colombia y reciba todas las claves informativas de la actualidad del país.